ToolGen

网络工具

HTTP Header 解析在线工具

HTTP Header 解析工具逐项拆解请求头和响应头,展示 Cache-Control、CSP、CORS、Cookie、Set-Cookie、Forwarded 等常见头字段的指令含义、时长换算和安全提示。

功能介绍

解析器逐行识别请求头与响应头,并针对 Cache-Control、Content-Security-Policy、CORS、Cookie、Set-Cookie、Forwarded、X-Forwarded-For 和 HSTS 等字段解释指令、换算时长、拆解属性并给出安全提示。

常见任务包括排查缓存策略:查看 max-age、no-cache 等指令的实际效果、审查 CSP 策略并识别 unsafe-inline 等风险配置、调试 CORS 跨域问题和预检响应头、检查 Set-Cookie 的 SameSite、Secure、HttpOnly 属性、分析 Forwarded、X-Forwarded-For 等代理转发链路。这些场景看似相近,但输入格式、处理边界和目标系统要求可能不同,使用前应先确认数据来源与期望输出,再根据页面结果做实际验证。

可直接粘贴标准“名称: 值”格式,也支持保留请求行、状态行及 curl -v 输出中的尖括号前缀。解析结果按字段组织,便于从一大段报文中快速定位缓存、跨域、Cookie 和代理链问题。页面现有说明还回答了以下常见疑问:“支持粘贴哪些格式的 Header?”支持每行一个「名称: 值」的标准格式,可以保留请求行(GET / HTTP/1.1)、状态行(HTTP/1.1 200 OK)以及 curl -v 输出中的 > 和 < 前缀,工具会自动清理。 “X-Forwarded-For 里的 IP 可信吗?”不一定。该头可以被客户端伪造,只有由可信代理追加的部分才有参考价值,鉴权和风控不应直接信任它。

使用方法

  1. 从浏览器开发者工具、curl 或日志中复制完整 Header 到输入区;
  2. 执行解析并按字段查看拆分结果,优先检查与当前问题相关的缓存、CORS、CSP 或 Cookie;
  3. 根据时长换算和风险提示回到服务端配置核对,必要时与正常响应做对比;
  4. 修正配置后重新请求并再次解析,确认实际响应头已经按预期变化。

注意事项

  • 解析结果是配置辅助说明,不会模拟浏览器完整安全策略;CSP、缓存和 Cookie 行为仍以真实客户端为准。
  • X-Forwarded-For 等字段可以被客户端伪造,只有可信代理追加的部分才可用于安全判断。
  • 所有报文在浏览器本地解析,不会上传;即便如此,粘贴前仍建议移除 Authorization、Cookie 和内部 Token。

常见使用场景

  • 排查缓存策略:查看 max-age、no-cache 等指令的实际效果
  • 审查 CSP 策略并识别 unsafe-inline 等风险配置
  • 调试 CORS 跨域问题和预检响应头
  • 检查 Set-Cookie 的 SameSite、Secure、HttpOnly 属性
  • 分析 Forwarded、X-Forwarded-For 等代理转发链路

常见问题

支持粘贴哪些格式的 Header?

支持每行一个「名称: 值」的标准格式,可以保留请求行(GET / HTTP/1.1)、状态行(HTTP/1.1 200 OK)以及 curl -v 输出中的 > 和 < 前缀,工具会自动清理。

X-Forwarded-For 里的 IP 可信吗?

不一定。该头可以被客户端伪造,只有由可信代理追加的部分才有参考价值,鉴权和风控不应直接信任它。

解析会上传我的数据吗?

不会。解析完全在浏览器本地完成,Cookie、Token 等敏感内容不会发送到服务器。

相关工具